El control del ransomware sobre la educación
Las instituciones educativas se enfrentan a una crisis. En poco tiempo, los centros de enseñanza primaria y secundaria y las universidades han pasado a depender enormemente de la tecnología. Desde las clases online hasta la gestión de los expedientes de los estudiantes, la digitalización se ha ido extendiendo para mejorar las experiencias de aprendizaje y la eficiencia administrativa. Sin embargo, la transformación digital tiene un costo: la exposición de estas organizaciones a las ciberamenazas.
Desde un punto de vista externo, las escuelas no parecen objetivos de gran valor. Muchas tienen presupuestos operativos reducidos en comparación con las empresas, lo que significa que no pueden pagar rescates multimillonarios. Y, mientras que las universidades albergan valiosas investigaciones, los centros de enseñanza primaria y secundaria ofrecen poca propiedad intelectual que merezca la pena robar. Entonces, ¿por qué el sector educativo sufrió un 44% más de ciberataques en 2022 que en 2021?
Lo cierto es que los centros de enseñanza poseen grandes cantidades de datos confidenciales de los alumnos y, sin embargo, carecen de los recursos de ciberseguridad necesarios para protegerlos adecuadamente. Esa contradicción es la raíz del problema. Por término medio, las instituciones educativas destinan menos del 8% de sus presupuestos de informática a medidas de ciberseguridad, y casi el 20% dedica menos del 1%. Estos presupuestos tan reducidos dejan a las organizaciones expuestas y vulnerables, una situación que los hackers están encantados de aprovechar, la mayoría de las veces mediante el ransomware.
El ransomware contra las escuelas: Un triple botín
El ransomware se ha convertido en uno de los métodos de ataque favoritos de los actores de amenazas, y representa más del 30% de todos los ataques contra los centros educativos. Estos ataques suelen lanzarse a través de phishing; aunque algunos profesores y administradores son muy conscientes de los peligros que pueden entrañar los archivos adjuntos, la mayoría no lo son, como tampoco lo son los niños en edad escolar, por lo que los centros educativos están llenos de objetivos fáciles. Un ataque de ransomware contra una escuela ofrece una oportunidad única de conseguir un botín triple. Además de la doble extorsión, en la que las empresas deben pagar una vez por una clave de cifrado y una segunda vez para asegurarse de que los datos no se filtrarán, los actores de amenazas que atacan escuelas pueden añadir una tercera capa amenazando a las familias de los estudiantes a menos que paguen.
Instituciones educativas: Objetivos ricos en datos y pobres en recursos
Los centros escolares y las universidades se han convertido en centros de datos, lo que constituye un valioso tesoro para los ciberdelincuentes y una pesadilla para todos los implicados en el sistema educativo: estudiantes, profesores, administradores y equipos informáticos y de seguridad.
Ya hemos visto cómo los presupuestos de seguridad reducidos son un problema, pero las estadísticas adicionales del informe del Centro de Análisis e Intercambio de Información Multiestatal ofrecen una visión crítica de por qué este sector está sufriendo tantos ataques.
Casi el 40% de las organizaciones de educación primaria y secundaria carecen de un plan de respuesta de ciberseguridad. Un plan integral de respuesta en materia de ciberseguridad puede minimizar los daños, reducir el tiempo de recuperación y ayudar a preservar la integridad y la estabilidad financiera de la institución. Sin un plan de respuesta, las escuelas pueden enfrentarse a una interrupción operativa prolongada. Las clases online, las plataformas de aprendizaje electrónico, los planes de estudio de los profesores y otros recursos digitales pueden quedar inaccesibles, impidiendo el progreso de los estudiantes y los avances educativos.
Casi un tercio de las instituciones no requieren autenticación multifactor (MFA) para ningún sistema. MFA introduce una capa adicional de seguridad que no es fácil de eludir, por lo que es una herramienta defensiva simple pero poderosa contra los ataques de phishing y ransomware. MFA también puede actuar como un sistema de alerta temprana. Si un usuario recibe una notificación MFA por una acción que no ha iniciado, ello podría indicar un acceso no autorizado y ofrecer la oportunidad de detener un intento de ataque.
La mitad de todos los centros escolares afirman que sus equipos informáticos carecen de personal suficiente. Los distritos escolares abarcan varios centros y son responsables de miles de alumnos. Dado que cada escuela tiene sus propios sistemas, además de los sistemas de todo el distrito, no hay forma realista de que un pequeño equipo informático, a veces formado por un solo empleado, pueda mantener y supervisar una infraestructura tan extensa 24 horas al día, 7 días a la semana, y mucho menos ejecutar un plan de respuesta en caso de que se produzca un ataque.
En esencia, estos tres problemas se derivan de las limitaciones presupuestarias, pero incluso con presupuestos más elevados, como los que tienen muchas universidades, escasean los profesionales expertos en ciberseguridad que puedan subsanar las deficiencias de seguridad y reforzar los sistemas.
La urgente necesidad de actuar
Hace apenas unos meses, fuimos testigos de uno de los ataques de ransomware más importantes de la historia. A finales de mayo, Progress Software Corporation anunció que unos atacantes estaban aprovechando una vulnerabilidad de día cero en uno de sus productos, MOVEit Transfer, una solución de transferencia gestionada de archivos (MFT). Los autores de la amenaza, parte del grupo de ransomware Clop, accedieron a las bases de datos de MOVEit Transfer y empezaron a robar datos confidenciales. A principios de agosto, más de 600 organizaciones habían sido atacadas en todo el mundo, y las universidades y escuelas públicas de EE.UU. representaban al menos una cuarta parte del total de víctimas. Progress Software alertó inmediatamente a sus clientes y les proporcionó medidas de mitigación temporales, seguidas de un parche de seguridad en 48 horas.
Una vez que la vulnerabilidad se hizo pública, otros hackers sólo tuvieron que utilizar escáneres de red para encontrar nuevas víctimas. Las empresas con equipos de seguridad potentes pudieron reaccionar rápidamente. Sin embargo, el sector educativo sufrió desproporcionadamente debido a la grave falta de expertos disponibles para responder con rapidez.
El ataque a MOVEit no es el primero que afecta a instituciones educativas. En 2020, una de las ciberamenazas más frecuentes contra los centros de enseñanza primaria y secundaria fue Shlayer. Este malware troyano iba dirigido específicamente a los sistemas Mac, que son utilizados por al menos el 70% de las escuelas. El vector de infección inicial más exitoso para Shlayer fue el malvertising, un tipo de ataque que utiliza publicidad maliciosa para distribuir malware. Cuando Shlayer se combinaba con un ransomware, los datos de un centro educativo quedaban cifrados, obligándole a pagar un rescate o a perder sus datos.
Empoderar a las instituciones educativas
Para proteger su dominio digital, los centros educativos deben dar prioridad a las medidas de ciberseguridad. Aunque las limitaciones presupuestarias pueden suponer un reto, las soluciones de seguridad no son un lujo, sino una necesidad.
Las escuelas pueden reducir significativamente los riesgos siguiendo las mejores prácticas, incluida la realización periódica de cursos de concienciación sobre ciberseguridad y el refuerzo de los sistemas mediante la adopción de medidas de seguridad que reduzcan la superficie de ataque, dificultando así que los ciberdelincuentes puedan aprovechar las vulnerabilidades. Las organizaciones también deben desplegar sistemas de detección y respuesta de puntos finales (EDR) para supervisar y responder a las actividades sospechosas, cortafuegos de aplicaciones web (WAF) para proteger las aplicaciones web y filtrado DNS para bloquear los dominios maliciosos.
Aunque aplicar estas medidas es crucial, supervisarlas las 24 horas del día exige recursos dedicados, y ahí es donde entra en juego un Centro de Operaciones de Seguridad (SOC). Un proveedor de SOC puede ofrecer una solución rentable para los centros educativos con presupuestos limitados. Un SOC no sólo supervisa y concentra las soluciones de seguridad, sino que además proporciona una respuesta rápida a los incidentes, detección de amenazas y supervisión continua 24/7.
Al adoptar las mejores prácticas de ciberseguridad, utilizar soluciones de seguridad y asociarse con un proveedor de SOC, las organizaciones educativas pueden reforzar sus defensas y proteger sus actividades y el futuro de sus alumnos.